vchalup - stock.adobe.com
Microsoft Security Copilot: Cyberangriffen mit KI begegnen
Mit dem Security Copilot bringt Microsoft KI-Funktionen in seine Sicherheitslösungen. Wie unterstützt der Ansatz IT-Teams bei der Abwehr von und Reaktion auf Bedrohungen?
Mit dem Microsoft Security Copilot bringt Microsoft seine KI auch in den Sicherheitsbereich. Ziel des Security Copilot ist es, dass Sicherheitsexperten schneller auf Bedrohungen reagieren können. Derzeit befindet sich der Security Copilot in der Early Access Phase für qualifiziere Kunden und ist noch nicht für alle Unternehmen verfügbar.
Microsoft Security Copilot kann die Lücke im Sicherheitswissen schließen
Der Security Copilot soll die Lücke im Bereich Sicherheitsfachwissen in Unternehmen schließen. Ausgewiesene Sicherheitsexperten mit speziellem Fachwissen sind rar. Nicht jedes Unternehmen verfügt über ausreichend Experten, sodass bei Cybervorfällen auf externe Hilfe zurückgegriffen werden muss. Bis diese eintrifft oder zur Verfügung steht, vergeht oft wertvolle Zeit. Der Security Copilot soll diese Know-how-Lücke schließen und sorgt gleichzeitig dafür, dass alle Sicherheitsinformationen aller angeschlossenen Systeme schnell verarbeitet werden können. Gleichzeitig soll der Security Copilot dabei unterstützen, sehr schnell auf Cyberangriffe zu reagieren. Der Security Copilot arbeitet mit einem spezialisierten Sprachmodell (LLM), das von Microsoft um spezifische Funktionen im Bereich Sicherheit erweitert wurde. Kunden sollen so von der enormen Menge an Informationen profitieren, die Microsoft im Sicherheitsbereich sammelt, und Microsoft Security Copilot kann darüber hinaus Reverse-Engineering-Aktionen durchführen.
Microsoft weist darauf hin, dass die verarbeiteten Daten Eigentum des jeweiligen Unternehmens bleiben und nicht für das Training von LLMs für andere Kunden verwendet werden. Das Verfahren ist ähnlich wie bei Microsoft 365 Copilot oder Bing Chat Enterprise. Allerdings lernt die KI aus den unternehmensinternen Daten und kann Prompts und Antworten speichern, so dass diese auch anderen Mitarbeitern zur Verfügung stehen.
Microsoft Security Copilot arbeitet mit Intune, Defender und Sentinel zusammen
Der Microsoft Security Copilot arbeitet unter anderem mit Microsoft 365 Defender, Microsoft Sentinel und Microsoft Intune zusammen. Dabei nutzt der Copilot die Signale der Produkte, um Sicherheitsanalysen durchzuführen. Stellt ein Produkt einen Vorfall fest, werden die Administratoren darüber informiert. Dadurch werden Gegenmaßnahmen erheblich beschleunigt. Außerdem können Admins ständig mit dem Security Copilot über den Chat interagieren.
Microsoft Security Copilot arbeitet eng mit den oben genannten Produkten zusammen und kann so als Zentrale genutzt werden, die auf Basis von maschinellem Lernen Cybervorfälle erkennt und bekämpft. Die Benutzeroberfläche des Microsoft Security Copilot ist direkt in Microsoft 365 Defender integriert. Die Oberfläche wird um ein Chat-Fenster ergänzt, in dem Administratoren Befehle in natürlicher Sprache eingeben können, um Aktionen zu starten oder Informationen abzurufen. Das erleichtert die Bedienung und hilft, Cyberangriffe schnell abzuwehren. Beispiele sind Fragen wie „Gibt es derzeit Alarme, die dringend sind?“ oder „Welche Alarme treten derzeit besonders häufig auf?“. Auch „Fasse für mich die letzten Vorfälle zusammen“ ist denkbar. Hier können sich Administratoren also in einfachen Worten über die Bedrohungslage informieren.
Hohe Komplexität und umständliche Prozesse sind bei Cyberangriffen problematisch, da sie den Angreifern Zeit zum Handeln geben. Hier setzt Security Copilot an und vereinfacht die Möglichkeiten für Administratoren erheblich. Gleichzeitig werden Gegenmaßnahmen beschleunigt und Copilot führt alle verfügbaren Informationen zusammen. Aktionen gegen Angriffe können sollen so innerhalb weniger Minuten gestartet werden können.
Die Lösung kann Informationen aus verschiedenen Systemen konsolidieren und so ein Gesamtbild erstellen. Auch Warnungen oder Vorfälle in Exchange Online erkennt Microsoft Security Copilot intelligent und kann selbstständig Aktionen einleiten. So erkennt das System Sicherheitsvorfälle auf den Arbeitsplatzrechnern genauso wie Angriffe auf das E-Mail-System, Microsoft Teams oder andere Lösungen. Security Copilot kann in hybriden Umgebungen eine zentrale Schnittstelle für alle Sicherheitsvorfälle zur Verfügung stellen und mit KI als Wächter über die Sicherheit im Unternehmen eine zeitnahe Reaktion auf Sicherheitsvorfälle ermöglichen. Die Interaktion mit Microsoft Security Copilot kann vollständig in natürlicher Sprache erfolgen.
Microsoft Security Copilot im Kampf gegen Ransomware einsetzen
Ransomware-Attacken nehmen weiter zu und die Angriffsvektoren über Phishing in verschiedenen Ausprägungen machen es schwierig, die Angreifer schnell und zuverlässig zu erkennen. Hier soll Microsoft Security Copilot Hilfe leisten, denn das System arbeitet mit den Technologien von Microsoft Defender Threat Intelligence. Auf diese Weise soll die Sicherheit des Microsoft-365-Abonnements umfassend gewährleistet werden.
Im Falle eines aktiven Angriffs kann Copilot nach Handlungsempfehlungen befragt werden. Hier gibt Copilot eine an die jeweilige Umgebung angepasste Hilfestellung, die auch auf empfohlenen Vorgehensweisen basiert. So können auch weniger erfahrene Sicherheitsadministratoren schnell auf Cybervorfälle reagieren. Best Practices können so mit Copilot auf eine spezifische Infrastruktur angewendet werden
Administratoren können Dateien per Drag & Drop direkt in das Chatfenster ziehen. Die Dateien können dann in natürlicher Sprache analysiert werden. Beispiele sind: „Gibt es verdächtige Elemente in dieser Datei?“ oder „Steht diese Log-Datei im Zusammenhang mit dem Malware-Vorfall auf PC1?“. Sind weitere Sicherheitstools wie Sentinel an Copilot angebunden, können Administratoren auch Fragen stellen, die sich auf diese Tools beziehen. Copilot greift auf die Systeme zu und gibt dann Hilfestellung.
Copilot arbeitet generativ und kann Antworten geben, ähnlich wie ChatGPT. Dabei integriert Copilot auch direkte Links zu den Systemen, aus denen die Antwort stammt, so dass Administratoren sofort einen Blick auf die entsprechenden Daten werfen und eigene Schlüsse ziehen können. Wenn die Antworten für die weitere Analyse wichtig sind, können sie angeheftet werden. So können andere Teammitglieder auf die gleiche Analyse zugreifen. Darüber hinaus können die Antworten dynamisch zusammengefasst und mit den Teammitgliedern geteilt werden, zum Beispiel per Mail, über SharePoint oder über Microsoft Teams.